(12) NACH DEM V£RTRA</fjB£R DIE INTERNATIONALE ZUSAMMENARBETT AUF DEM GEBIET DES 
PATENTWESENS (PCT) VERdFFENTLICHTE INTERNAI10NAIJ£ ANMELDUNG 



(19) Weltorganisatioa fiir gelstiges Eigentmn 
Internationales Btiro 

(43) Internationales Verdffentlichiuigsdatimi 
15. Januar 2004 (15.01.2004) 




(10) Internationale Veroffentlichungsnummer 

PCX wo 2004/006031 Al 



(51) Internationale Patentklassifikation'^; 19/042, 

G06F 1/00 

(21) Internationales Aktenzelchen: PCT/EP2003/006963 

(22) Internationales 'Anmeldedatum: 

1. Juli 2003 (01.07.2003) 



(25) EinreJctiungssprache: 

(26) VerolTiratlicbungssprBche: 



E>eutsch 
Deutsch 



(30) Angaben zur Prioritfit: 

102 29 704.5 2. Juli 2002 (02.07.2002) DE 



(71) Anmelder (fur alle Bestimmungsstaaten mii Ausnahme 
von US)i ENDRESS + HAUSER PROCESS SO- 
LUTIONS AG [CH/CH]; Christoph-Merian-Ring 23, 
CH-4153 Reinach (CH). 

^(72) Erfinder; und 
(7^ Erfinder/Anmelder (nur fur US): DA SILVA NETO, Eu- 
, genio Ferreira [BR/CM]; Bachgasse 20, CH^IOS Biel- 
"Benken (CH). 

(74) AnM'alt: ANDRES, Angelika; c/o Endress -f Hauser 
Deutschland Holding GmbH, PatServe, Colmarer Strasse 
6, 79576 Weil am Rhein (DE), 

(81) Bestimmungsstaaten (national): AE, AG, AL, AM, AT, 
AU, AZ, BA, BB, BG, BR, BY, BZ, CA. CH, CN, CO, CR, 

[Fortsetzung auf dernHchsten Seite] 



(54) TItie: METHOD PROVIDING PROTECTION FROM UNAUTHORIZED ACCESS TO A FIELD DEVICE USED IN 
PROCESS AUTOMATION TECHNOLOGY 

(54) Bezeichnung: VERFAHREN ZUM SCHUTZ VOR UNERLAUBTEM ZUGRIFF AUF EIN FELDGERAT IN DER PROZES- 
SAUTOMATISIERUNGSTECHNTK 



5 

1 



SI S2 S3 















■G 


1 





(57) Abstract: Disclosed is a method providing 
protection from unauthorized access to a field de- 
vice which is connected to a control unit via a data 
bus. According to the inventive method, a security 
program which verifies authorization via the data 
bus when the field device is accessed is stored in 
said field device. 

(57) Zusanunenfassung: Bei einem Verfahren 
zum Schutz vor uneriaubtem ZugrifF auf ein 
Feldger^t, das Qber einen Datenbus mit einer 
Steueieinheit verbunden ist, wild im Feldgerat 
ein Sicheiheitsprogramm abgespeichert, das 
bei dnem Zugrifif auf das Feldgerat Uber den 
Datenbus eine BerechtigungsprQfung durchfUhrL 
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Verfahren zum Schutz vor unerlaubtam Zugriff auf ein Feldgerat in der 
Prozes$automatisierung$technik 

Die Erfindung betrifft ein Verfahren zum Schutz vor uneriaubtem Zugriff auf 
ein Feldgerat in der Prozessautomatislerungstechnik gema& dem Oberbegriff 
des Anspruchs 1 . 

In der Prozessautomatisierungstechnik werden vielfach FeldgerSte 
eingesetzt, die in einem industriellen Prozessablauf verschiedene 
Prozessvariable messen (Sensoren) oder RegelgroBen steuern (Aktoren). 
Sensoren zur Durchfluss-, Fullstands-, Druck-, Temperaturbestimmung etc. 
sind allgemein bekannt. Zur Erfassung der entsprechenden Prozessvariablen 
Massen- Oder Volumendurchfluss, FUllhdhe, Druck, Temperatur, etc. sind die 
Sensoren in unmittelbarer Ndhe zu der betreffenden Prozesskomponente 
angeordnet. 

Als Beispiel fur Aktoren sind steuerbare Ventile zu nennen, die den 
Durchfluss einer FIQssigkeit oder eines Gases in einem 
Rohrleitungsabschnitt regeln. 

Die Sensoren iiefern Messwerte, die dem aktuellen Wert der erfassten 
Prozessvariable entsprechen. Diese Messwerte werden an eine 
Steuereinheit z. B. SPS (Speicherprogrammierbare Steuerung), Warte- oder 
Prozessleitsystem PLS Qber einen Datenbus weitergeleitet. 

In der Regel erfolgt die Prozesssteuerung von der Steuereinheit, wo die 
Messwerte verschiedener Feldgerate ausgewertet werden und aufgrund der 
Auswertung Steuersignale fUr die entsprechenden Aktoren erzeugt werden. 
Neben der reinen MesswertQbertragung k6nnen Feldger^te auch zusatzliche 
informationen (Diagnose, Status, etc.) an die Steuereinheit Qbertragen. Die 
Parametrierung und Konfigurierung der Feidgerdte erfolgt ebenfalls Qber den 
Datenbus. 
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Die Signalubertragung zwischen Feldgerat und Steuereinheit kann in 
analoger oder digitaler Form erfolgen, bekannte Standards sind HART®. 
Profibus®. Foundation Fieldbus® oder CAN®-Bus. Vielfach ist der Datenbus 
mit einem ubergeordneten Firmennetzwerk verbunden. Zwischen dem 
Datenbus (Feldbus) und dem Firmennetzwerk dient ein Controller als 
Gateway. Ober das Firmennetzwerk erfolgt insbesondere die 
Prozessbeobachtung sowte die Prozessvisualisierung und das Engineering 
mittels entsprechender Rechnereinheiten. 

Feldbus und Firmennetzwerk bezeichnet man auch als 
Prozesskontrollsystem. 

Die Sioherheitsanforderungen an Prozesskontrollsysteme werden Immer 
strenger, deshalb sind in vielen Unternehmen Prozesskontrollsysteme von 
anderen Firmehnetzwerken (SAP. Business) streng getrennt. Dadurch sollen 
unerlaubte Zugriffe auf Feldgerdte vemrieiden werden. Momentan 
konzentrieren sich die Anstrengungen im Hinblick auf Sicherheit bei 
Prozesskontrollsystemen auf die Netzwerk-Ebene. 

Zur Vermeidung von firmenfremden Angriffen werden sogenannte Firewalls 
eingesetzt. Neben firmenfremden Angriffen sind aber firmeninteme AngrifFe 
ebenso gefahrlich. Bet firmenintemen Angriffen kSnnen z. B. Parameter in 
Feldgeraten ge^ndert werden oder die gesamte Kontrollstrategie gedndert 
werden. Dies kann zu erheblichen ProduktionsstOrungen fOhren. 

Aus diesem Grunde sind Programme, die die Parametrierung. Konfigurierung 
und eine Veranderung der Kontrollstrategie ermoglichen (SCADA-Systeme 
Oder Configuration Tools) mit einem Passwortschutz ausgestattet. Hierbei ist 
auch eine Authorisierung der Personen die Anderungen durchfQhren 
notwendig. 
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Z. B. kdnnen bei dem Centum CS 1000 Prozesskontrollsystem von 
Yokogawa kritische Funktionsblocke, die z.B. in Feldgerdten ablaufen, nur 
Qber die Eingabe von zwei Passwortern verschiedener Personen geSndert 
werden. 

Bei der Firma Endress + Hauser gibt es ein Sicherheitsschutz gegen 
unberechtigtes andern von Parametem bei Feldgeraten uber eine 
Verriegelung. Die Person, die Anderung vornehmen moohte, muss am 
Feldgerat einen Code eingeben bevor Anderungen am Feldgerdt mOgiich 
werden. 

Heutige Prozesskontrollsysteme arbeiten haufig auf Ethernet-Basis. Hierbei 
ist es relativ einfach uber eine entsprechende Konfiguriereinheit (Laptop, 
Handheld) direkt auf die Feidgerate zuzugreifen und dabei Parameter und 
EInstellungen an diesen zu dndern. Mit einer derartigen zusatzlichen 
Konfiguriereinheit ist es ohne weiteres moglich auch die gesamte 
Kontrollstrategie zu andem. 

Eine Kontrollstrategie kann z. B. mit dem 302 Syscon von der Firma SMAR 
erzeugt werden und in die FeldgerSte geladen werden. 

Aufgabe der Erfindung ist es ein Verfahren zum Schutz vor unerlaubtem 
Zugriff auf ein Feldgerat anzugeben, das unerlaubte Anderungen an der 
Konfigurierung von Feldgeraten verhindert und das kostengOnstig und 
einfach durchfUhrbar ist. 

GelOst wird diese Aufgabe durch das in Anspruch 1 angegebene Verfahren. 

Wesentliche idee der Erfindung ist es, im Feldgerat selbst ein 
Sicherheitsprogramm abzuspeichem, das bei einem Zugriff auf das Feldgerat 
Qber den Datenbus eine Berechtigungsprufung durchfQhrt. Dadurch kann 
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eine Manipulation am FeldgerSt durch Nichtberechtigte In einfacher Weise 
verhlndert werden. 

Vorteilhafte Weiterentwicklung der Erfindung sind in den Unteranspruchen 
angegeben. 

Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten 
Ausfuhrungsbeispieis ndher erldutert. 

FIgur 1 zelgt ein Prozesskontroilsystem das einen Datenbus 5 und ein 
Firmennetzwerk 15 die uber einen Controller? (Linking Device) mitelnander 
verbunden sind, umfasst. An den Datenbus 5 ( Feldbus) sind verschiedene 
Sensoren S1, S2, S3. S4 angeschlossen, die zur Bestimmung der FQIIhOhe h 
einer FIQssigkeit in einem Behaiter 1 dienen. Am Behaiter 1 ist weiterliin eine 
Anzeigeeinheit 4 angeordnet. Der Datenbus 5 ist weiterhin mit einer Remote 
I/O- Einheit 9 verbunden, die den Anschluss verschiedener 4 bis 20 mA 
Messgerate eriaubt. 

An das Firmennetzwerk 15 sind verschiedene Rechnersysteme 11,12 
angeschlossen, die z. B. eine Prozessvisualisierung ermoglichen oder zum 
Engineering der Prozessanlage dienen. 

In Figur 2 ist ein Funktionsblock dargestellt, der definierte 
Kommunikationsschnittstellen aufweist. 

Moderne Datenbusse eriauben nicht nur die Datenubertragung zwischen 
einem Sensor und einer Obergeordneten Einheit sondern auch die 
AusfQhrung standardisierter Anwendungsfunktionen wie sie z. B. durch die 
Fieldbus Foundation® oder die Profibus Nutzer Organisation PNO ® definiert 
sind. Funktionsbldcke besitzen eine selbstandige Kommunikationsfahigkeit 
und eriauben im Zusammenspiel mit unterschied lichen Feidgerdten 
kompHzierte Steuervorgange auszufuhren. 
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Ein einfecher Funktionsblock ist ein PiD-Regler der mit einem Funktionsblock 
in einem Sensor und einem Aktor kommunlziert. In Fig. 2 ist ein PID-Regler 
Funktionsblock PID dargesteitt, der mit einem Analog Input Al und einem 
Analog Output AO- Funktionsblock verbunden ist. Die Parameter der 
Funktionsbl6cke werden bei der Konfiguration und Parametrlerung der 
Feldgerate festegelegt. Sie bestimmen im wesentlichen die Funktionalitat des 
Feldgerdtes bzw. der Kontrollstrategie. Da sich bei Funktionsblocken um 
standardisierte Anwendungsfunktionen handelt, eriauben sie das 
Zusammenspiel von verschiedenen Feidgeraten unterschiedlicher Hersteller 
zur Ausfuhrung aufwendiger Kontrollstrategien. 

Mit Hilfe von entsprechenden Tools (z.B. Syscon 302) kann die gesamte 
Kontrollstrategie bzw. einzelne Parameter von Funktionsblocken geandert 
werden. Dies kann bei unberechtigtem Zugriff zu erheblichen Fehlfunktionen 
im Prozessablauf fQhren. 

Ein wesentlicher Aspekt der Erfindung ist es, im Feldgerdt ein 
Sicherheitsprogramm abzuspeichern, das bei einem Zugriff auf das Feidgerat 
Uber den Datenbus eine Berechtigungsprufung des Zugriffs durchfuhrt. Greift 
ein Unberechtigter Qber den Datenbus auf das Feldgerdt zu und versucht 
Parameter von im FeldgerSt abgespeicherten Funktionsblocke zu andern 
Oder Funktionsblocke auszutauschen, so wird dies durch die 
Berechtigungsprufung verhindert. Nur berechtlgte Personen haben Zugriff 
auf das Feldgerdt. 

In einfacher Weise ist das Sicherheitsprogramm Tell eines Funktionsbiocks. 
Altemativ kann das Sicherheitsprogramm auch Tell einer im Feldgerat 
abgespeicherten Firmware sein. 

Das Sicherheitsprogramm umfasst z. B. einen SicherheitsschlUssel der aus 
einem 128 Bit-Code Oder einem langerem Bit-Code besteht. Je mehr Bits der 
Code aufweist, desto schwieriger ist ein „Knacken" des Codes. 
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Der Sicherheitsschlussel kann bei der Installation des Feldgerates erzeugt 
und in diesem abgespeichert werden. 

Alternativ ist der SicherheitsschlQssel bereits im Feldgerat abgespeichert. 

Nur mit dem richtigen SicherheitsschlQssel lassen sich Anderungen an den 
Einstellungen des Feldgerates insbesondere an den Funktionsblocken 
vornehmen. 

Es gibt prinzipiell zwei MOglichkeiten auf das FeldgerSt zuzugreifen. 
Entweder wird ein verschlQsseltes Passwort an das Feldgerat gesendet, das 
mit Hilfe des Sicherheitsprogramms entschlQsselt und gepruft wird oder es 
werden die Daten die an ein Gerat gesendet werden verschlQsselt und das 
Sicherheitsprogramm entschlQsselt diese mit dem abgespeicherten 
SchlQssel. 

Um eine noch h5here Sicherheit zu erhalten, wird der SicherheitsschlQssel 
regelma&ig geandert. Dies kann z. B. taglich oder stQndlich erfolgen. Je 
kQrzer die Abstande zwischen dem Erzeugen eines neuen 
SicherheitsschlQssels und entsprechendem Abspeichem Ist, desto schwerer 
werden unerwQnschte Manipulationen. 

Vorteilhafl ist die Speicherung des SicherheitsschlQssels nur im Feldgerat 
Unter Feldgeraten solien nicht nur Aktoren und Sensoren verstanden 
werden. sondem auch Controller. PLCs und Linking Devices. Im Prinzip alle 
Gerate, die Qber den Datenbus angesprochen und deren Einstellungen Qber 
den Datenbus geandert werden kennen. 
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PatentansprQche 

1. Verfahren zum Schutz vor unerlaubtem ZugrifF auf ein Feidgerdt. das Qber 
einen Datenbus mit einer Steuereinheit verbunden ist, dadurch 
gekennzeichnet dass im Feldgerat ein Sicherheitsprogramm 
abgespeichert ist, das bei einem Zugriff auf das Feldgerdt Qber den 
Datenbus eine Berechtigungsprufung durchfQhrt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet. dass das 
Sicherheitsprogramm Teil eines Funlctionsbloci^s ist. 

3. Verfahren nach Anspruch 1, dadurch gel<ennzeichnet, dass das 
Sicherheitsprogramm Tell der im FeldgerSt abgespeicherten Fimiware ist 

4. Verfahren nach einem der vorhergehenden AnsprQche. dadurch 
gekennzeichnet dass das Sicherheitsprogramm einen 
Sicherheitsschlussel umfasst, der bei der Konfiguration des Feldgerdtes 
im Feldgerat abgespeichert wird. 

5. Verfahren nach einem der vorhergehenden AnsprQche. dadurch 
gekennzeichnet dass der SicherheitsschlQssel zumindest ein128 Bit- 
Code ist. 

6. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet dass der Sicherheitsschlussel bei der Installation des 
Feldgerates erzeugt wird. 

7. Verfahren nach einem der vorhergehenden AnsprQche 1-5, dadurch 
gekennzeichnet dass der SicherheitsschlQssel vom Feldgerdt geliefert 
wird. 
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8. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass der Sicherheitsschlussel regelma&ig emeuert wird. 

9. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet dass der Sicherheitsschlussel stOndlich emeuert wird. 

10. Verfahren nach einem der vorhergehenden Anspriiche. dadurch 
gekennzeichnet dass der Sicherheitsschlussel nur im Feldgerat 
abgespeichert wird. 

11. Verfahren nach einem der vorhergehenden AnsprQche. dadurch 
gekennzeichnet dass Feldgerate Sensoren, Aktoren, Controller, PLCs, 
Oder Gateways sind. 
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